Vulnerabilidades K2

Contacto

Miércoles, 12 Agosto 2020 09:27

Vulnerabilidades en Google Chrome

El CSIRT de Entelgy Innotec Security avisa del lanzamiento de actualizaciones de seguridad para solucionar vulnerabilidades altas en Google Chrome.

Google Chrome, popular software de navegación web ha lanzado su nueva versión Google Chrome 84 estable para Windows, Mac y Linux en la que han introducido 15 correcciones de seguridad que solucionan 14 vulnerabilidades.

A continuación, se describen brevemente las vulnerabilidades que han sido calificadas como altas por Google, ya que, por el momento, se desconocen sus detalles técnicos y aún no han sido registradas en la base de datos del NIST, ni recibido puntuación de acuerdo a la escala CVSSv3:

CVE-2020-6542: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente ANGLE en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo. 

CVE-2020-6543: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del programador de tareas en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo. 

CVE-2020-6544: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente media en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo. 

CVE-2020-6545: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente de audio en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo. 

CVE-2020-6546: Vulnerabilidad debida a una incorrecta implementación del instalador en Google Chrome. Un atacante remoto podría crear una página web especialmente diseñada, engañar a la víctima para que la visite y comprometer el sistema.

CVE-2020-6547: Vulnerabilidad del tipo “spoofing attack” (ataque de suplantación) debido a una validación insuficiente de la entrada proporcionada por el usuario en los medios en Google Chrome.  Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite y falsificar el contenido de la página web.

CVE-2020-6548: Vulnerabilidad del tipo “buffer overflow” (desbordamiento de búfer) dentro del componente Skia de Google Chrome que puede permitir a un atacante remoto ejecutar un código en el sistema objetivo.

CVE-2020-6549: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente media en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo. 

CVE-2020-6550: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente IndexedDB en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.

CVE-2020-6551: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente WebXR en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.

CVE-2020-6552: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del componente Blink en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.

CVE-2020-6553: El fallo existe debido a un error del tipo "use-after-free" (uso de memoria previamente liberada) dentro del modo offline en Google Chrome. Un atacante remoto podría desencadenar un error del tipo "use-after-free" y ejecutar código en el sistema objetivo.

Recursos afectados:

  • Todas las versiones anteriores a Google Chrome 84.0.4147.125.

Solución a las vulnerabilidades:

Actualizar a Google Chrome 84.0.4147.125 a través del enlace que se ofrece a continuación:

En caso de dudas, se recomienda seguir las instrucciones ofrecidas por el fabricante para llevar a cabo la instalación.

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, se desconocen medidas de mitigación alternativas a las propias  actualizaciones lanzadas por Google para solucionar estas vulnerabilidades.

Referencias:

S5 Box